인터넷 검색 및 웹 사이트 접속 과정에서 다양한 광고창 생성이 이루어질 수 있는 국내에서 제작된 "Windows GearExtion" 광고 프로그램의 변종 정보가 확인되어 살펴보도록 하겠습니다.
해당 광고 프로그램은 "GearExtention for Windows (x86,x64)" 이름으로 배포된 적이 있으며, 변종에 따라 다양한 서비스, 작업 스케줄러 값으로 등록되어 동작할 수 있습니다.
설치 과정을 살펴보면 배포 파일<SHA-1 : 60d6af96b86646289b5cf2f5fc87280343d08679 - 알약(ALYac) : Gen:Variant.Adware.Symmi.42600> 실행을 통해 gearext_inst.zip 압축 파일을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\gearext_inst.exe" 파일<SHA-1 : 70a1ba12a7ab6ea30c2508c42ba32db3f8bb8e91 - 알약(ALYac) : Gen:Variant.Zusy.101507>을 생성 및 실행합니다.
실행된 파일은 가상 환경 및 분석 도구를 체크하여 조건에 부합할 경우 서버로부터 install.zip 압축 파일을 다운로드 및 압축 해제하여 다음과 같은 프로그램 설치를 진행합니다.
|
파일 경로 |
C:\Program Files\Windows GearExt\gearext.exe |
|
SHA-1 |
c0e5a4ae0c3933f0040a82eca6c588d9ebadc29a |
|
진단명 |
PUP/Win32.GearExt.C420378 (AhnLab V3 365 Clinic) |
|
제품 이름 |
GearExtention |
|
파일 설명 |
Extention Of Gear |
|
비고 |
메모리 상주 프로세스 |
|
파일 경로 |
C:\Program Files\Windows GearExt\gearext_uninst.exe |
|
SHA-1 |
8973e1956e2aa20524fd2746fa09e6b0f36dccfb |
|
진단명 |
not-a-virus:AdWare.Win32.Kraddare.sa (Kaspersky) |
|
비고 |
프로그램 삭제 파일 |
|
파일 경로 |
C:\Program Files\Windows GearExt\gearexts.exe |
|
SHA-1 |
eff701e6e98add5f6154e9cbdc5ed1ed81415cfe |
|
진단명 |
Adware.Gearext.469184.C[h] (Hauri ViRobot) |
|
디지털 서명 |
INSAFE |
|
비고 |
예약 작업(gesegpnvup) 등록 파일 |
|
파일 경로 |
C:\Program Files\Windows GearExt\gearextu.exe |
|
SHA-1 |
90839bd85912e9ca5ab0da4f043d93d1c6cee27d |
|
진단명 |
Adware/W32.Agent.471232 (nProtect) |
|
디지털 서명 |
INSAFE |
|
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - EXTGEAR = "C:\Program Files\Windows GearExt\gearextu.exe" /run |
|
비고 |
시작 프로그램(EXTGEAR) 등록 파일 |
|
파일 경로 |
C:\Program Files\Windows GearExt\gext_bangabmoa.dll |
|
SHA-1 |
4dfdc68cbfe33bf4e1c056ea6f4892369bc52434 |
|
진단명 |
Generic5.BIQY (AVG) |
|
디지털 서명 |
INSAFE |
|
파일 경로 |
C:\Windows\gemegpnvup.exe |
|
SHA-1 |
aaf986d60bc1a4d080de5987e1b04fe1f49c2a52 |
|
진단명 |
Gen:Variant.Adware.Graftor.140283 (BitDefender) |
|
디지털 서명 |
INSAFE |
|
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gemegpnvup |
|
비고 |
서비스(gemegpnvup) 등록 파일 |
|
파일 경로 |
C:\Windows\System32\drivers\gearext.sys |
|
SHA-1 |
af2fc2aeaaf78b63235685dad45c4118d5ff9eba |
|
진단명 |
Generic.EE7 (AVG) |
|
디지털 서명 |
INSAFE |
|
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gearext |
|
비고 |
드라이버(gearext) 등록 파일 |
INSAFE 디지털 서명이 포함된 "Windows GearExtion" 광고 프로그램은 "C:\Program Files\Windows GearExt" 폴더와 Windows 폴더 내에 파일을 생성하며, Windows 시작시 다음과 같은 자동 실행값을 통해 프로그램을 자동 실행하도록 구성되어 있습니다.
- 서비스(gemegpnvup) : "C:\Windows\gemegpnvup.exe" /srv
- 시작 프로그램(EXTGEAR) : "C:\Program Files\Windows GearExt\gearextu.exe" /run
- 예약 작업(gesegpnvup) : C:\Program Files\Windows GearExt\gearexts.exe /sch
자동 실행된 파일들은 가상 환경 및 분석 도구가 설치된 환경이 아닌 경우 프로그램 업데이트 및 광고 구성값 정보를 체크한 후 광고 기능을 수행하는 gearext.exe 파일을 메모리에 상주시킵니다.
이를 통해 사용자가 웹 브라우저를 이용하여 인터넷 검색 및 웹 사이트 접속 등의 행위 과정에서 gext_bangabmoa.dll 광고 모듈을 통해 광고창 생성과 같은 광고 행위를 수행할 수 있습니다.
■ "Windows GearExtion" 광고 프로그램 삭제 방법
기본적으로 해당 광고 프로그램은 제어판에 등록된 "Windows GearExtion" 삭제 항목을 이용하여 제거할 수 있으며, 제어판에 등록되어 있지 않은 경우에는 "C:\Program Files\Windows GearExt\gearext_uninst.exe" 파일을 찾아 직접 실행하여 삭제를 진행하시기 바랍니다.
만약 사용자의 필요에 따라 수동으로 프로그램 삭제가 필요한 경우에는 다음의 절차를 참고하여 제거하시기 바랍니다.
(a) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 다음의 명령어를 순차적으로 입력 및 실행하여 등록된 서비스 및 드라이버 레지스트리 값을 자동 삭제하시기 바랍니다.
- sc delete "gemegpnvup"
- sc delete "gearext"
(b) Windows 작업 관리자를 실행하여 메모리에 상주하는 gearext.exe 프로세스를 찾아 종료하시기 바랍니다.
(c) 실행 중인 Internet Explorer 웹 브라우저를 종료한 후 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.
- C:\Program Files\Windows GearExt
- C:\Windows\gemegpnvup.exe
- C:\Windows\System32\drivers\gearext.sys
- C:\Windows\System32\Tasks\gesegpnvup
- C:\Windows\Tasks\gesegpnvup.job
(d) 레지스트리 편집기(regedit)를 실행하여 시작 프로그램(Run)에 등록된 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run- EXTGEAR = "C:\Program Files\Windows GearExt\gearextu.exe" /run
해외 보안 제품과 달리 국내 무료 백신의 경우에는 불필요한 프로그램(PUP)에 대한 진단이 이루어지지 않을 수 있으므로 다양한 변종이 존재하는 광고 프로그램으로 고생하시는 분들은 40여종의 백신 엔진을 통해 악성 파일 실행을 차단하는 앱체크(AppCheck) 보조 백신을 함께 사용하시기 바랍니다.
☞ 검색 도우미 : GearExtention for Windows (x86,x64) - gemegnmqmp.exe (2013.12.16)
☞ 검색 도우미 : GearExtention for Windows (x86,x64) - gemegpvrqn.exe (2013.12.30)
☞ 검색 도우미 : GearExtention for Windows (x86,x64) - gemegrsvsp.exe (2014.1.7)
☞ 검색 도우미 : GearExtention for Windows (x86,x64) - gemegnmums.exe (2014.1.8)
☞ 검색 도우미 : GearExtention for Windows (x86,x64) - gemegnmsnon.exe (2015.1.2)